安全公告
-
【威胁通告】OpenSMTPD远程命令执行漏洞(CVE-2020-8794)
2020-02-24
综述当地时间2月24日,来自安全公司Qualys的研究人员在公开邮件组中公布了OpenSMTPD 中存在的一个远程命令执行漏洞CVE-2020-8794。OpenSMTPD (也称为OpenBSD SMTP服务器)是 OpenBSD 项目的一部分,一个免费的服务器端SMTP协议实现,通过RFC5321定义。CVE-2020-8794 是一个越界读取漏洞,可被远程利用,成功的利用可导致攻击者以 root 身份执行注入到 envelope 文件中的任意命令。据研究人员表示,他们针对此漏洞开
更多 -
综述当地时间 2月24日,Google 针对桌面版Chrome浏览器发布更新以解决多个漏洞,其中包括已被发现在野利用的高危漏洞CVE-2020-6418。CVE-2020-6418是存在于V8中的类型混淆漏洞,V8是Google Chrome的开源JavaScript和WebAssembly引擎。该漏洞由 Google威胁分析小组的Clement Lecigne发现并上报。参考链接:https: chromereleases googleblog com 2020 02 stable-channel-update-for-desktop_24 html受影响产品版本Google
更多 -
综述Vmware 近日发布的通告中公布了一个存在于 vRealize Operationsfor Horizon Adapter 中的远程代码执行漏洞(CVE-2020-3943)。CVSS V3 评分 9 0 ,官方定级为严重。漏洞原因是vRealize Operations for Horizon Adapter 使用了没有安全配置的JMX RMI服务。导致未经身份验证的远程攻击者可以通过网络访问在vRealize Operations中执行任意代码。参考链接:https: www vmware com security advisories VMSA-202
更多 -
【威胁通告】Fastjson <=1.2.62远程代码执行漏洞
2020-02-21
综述在jackson-databind 中最新发现的反序列化 gadget 也同样影响了fastjson,经香港正版挂牌研究人员验证复现,该漏洞影响最新的fastjson 1 2 62 版本,利用该漏洞可导致受害机器上的远程代码执行。开启了autoType功能的用户会受此漏洞影响(autoType功能默认关闭)。fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有
更多 -
【防护方案】Apache Tomcat文件包含漏洞(CVE-2020-1938)
2020-02-20
一、综述2月20日,国家信息安全漏洞共享平台(CNVD)发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告。公告中表示,存在于Apache Tomcat中的文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)可使攻击者在未授权的情况下远程读取特定目录下的任意文件。漏洞源于Tomcat AJP协议实现中的缺陷,使得相关参数可控。通过向AJP协议端口(默认8009)发送精心构造的数据,可读取服务器webapp目录下的任意文件,比如配置文
更多 -
【威胁通告】Apache Tomcat 文件包含漏洞(CVE-2020-1938)
2020-02-20
一 漏洞概述2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487 CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。目前,厂商已发布新版本完成漏洞修复。Tomcat是Apache软件基金会中的一个重要项目,性能稳定且免费,是目前
更多
